身份与访问
机器身份
别称: 工作负载身份, 非人类身份
定义
用于认证并与其他系统建立信任的非人类实体(工作负载、设备、容器或 API 客户端)的加密身份。
机器身份是软件用来证明自身的数字凭据,包括 TLS 证书、SSH 密钥、API 令牌、云工作负载身份、SPIFFE ID 和代码签名证书。随着组织采用微服务、Kubernetes 与多云,机器身份的数量已远超人类身份,带来庞杂的攻击面。要在规模化下管理它们,需要自动化签发与轮换、公钥基础设施、密钥管理平台,以及对过期和滥用的可观测性。证书或签名密钥被盗或过期所引发的多起重大事件,凸显了机器身份在零信任架构中的基础地位。
示例
- 为 Kubernetes 工作负载签发 SPIFFE ID,以 mTLS 方式认证微服务之间的调用。
- AWS Private CA 自动为 IoT 设备签发证书以实现双向 TLS 认证。
相关术语
服务账户
由应用程序、脚本或服务使用的非人类身份,通常用于在没有交互登录的情况下向其他系统进行认证。
Credential Vault
Credential Vault — definition coming soon.
公钥基础设施(PKI)
由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
双向 TLS(mTLS)
TLS 的扩展模式,客户端和服务器都出示 X.509 证书,从而以加密方式相互认证对方身份。
身份与访问管理 (IAM)
用于定义数字身份并控制每个身份在何种条件下可访问哪些资源的一套学科与技术体系。
最小权限原则
一种安全原则,要求向每个用户、进程或服务仅授予其完成职责所必需的最少权限,绝不多余。